VEDI ANCHE Comunicato del 6 giugno 2023

[doc. web n. 9893718]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 184 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 15 novembre 2022, n. 64099/22 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di: 1) Mas s.r.l., con sede legale in Verona, corso Milano 64, C.F. 04600740239; 2) Mas s.r.l.s., con sede legale in Verona, corso Milano 64, C.F. 04464070236; 3) Sesta Impresa s.r.l., con sede legale in Firenze, viale Belfiore 34, C.F. 02108430501; 4) Arnia Società Cooperativa, con sede legale in Firenze, viale Belfiore 34, C.F. 06488750487.

Il procedimento trae origine da una segnalazione che il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di finanza ha ricevuto dalla Compagnia di Soave del medesimo Corpo, segnalazione inoltrata poi all’Autorità. In essa si rappresentava che la Compagnia di Soave aveva avviato degli accertamenti ispettivi nei confronti di due aziende veronesi, Mas s.r.l. e Mas s.r.l.s. che, come è agevole desumere dalla ragione sociale, operano nell’ambito di una medesima iniziativa imprenditoriale.

Il 19 febbraio 2021 la Guardia di finanza rilevava, nel corso delle ordinarie attività d’istituto durante il periodo pandemico, che due persone si aggiravano nel territorio comunale di Soave nonostante le restrizioni sanitarie all’epoca adottate: le due persone dichiaravano di essere procacciatori d’affari per conto delle sopra indicate società, presso le quali quindi la Compagnia di Soave svolgeva degli accertamenti.

1.2. Accertamenti ispettivi presso Mas s.r.l. e Mas s.r.l.s

Le attività ispettive svolte dalla Guardia di finanza restituivano esiti rilevanti in relazione alla normativa in materia di protezione dei dati personali, oltre ad ulteriori risultanze oggetto di trattazione separata. Per gli aspetti di competenza di questa Autorità, emergeva che Mas s.r.l. e Mas s.r.l.s. svolgevano attività finalizzate a promuovere i servizi di compagnie del settore dell’energia elettrica e del gas, condividendo fra loro uffici e dipendenti. Le attività promozionali, come emerge dalle relazioni di servizio in atti, avevano coinvolto anche il comandante della Compagnia di Soave, destinatario di telefonate indesiderate da parte della Mas s.r.l.

Le attività ispettive restituivano un quadro di sostanziale non conformità dei trattamenti di dati personali svolti dalle due società che effettuavano chiamate promozionali finalizzate alla vendita dei servizi delle aziende energetiche Enel Energia e Hera Comm. Le chiamate erano realizzate utilizzando elenchi di potenziali clienti che risultavano essere stati acquistati dal titolare di Mas s.r.l.s., in un caso attraverso un non meglio individuato venditore presente su Facebook, in altri casi da una impresa individuale italiana e dalla società spagnola Telecontact List s.l., azienda già oggetto di ulteriori segnalazioni.

Le liste di contatto risultavano utilizzate sia per le attività di contatto di Mas s.r.l. sia per quelle di Mas s.r.l.s. senza che le due società avessero svolto controlli in ordine alla corretta acquisizione dei consensi per la comunicazione dei dati da un titolare all’altro e per l’effettuazione di trattamenti con finalità promozionali.

Nonostante la sola Mas s.r.l. fosse legata con Hera Comm da un contratto di agenzia per la realizzazione di campagne pubblicitarie, la stessa s.r.l. contattava potenziali clienti anche per promuovere i servizi di Enel Energia e, nel corso degli incontri finalizzati al perfezionamento delle proposte di adesione, i procacciatori d’affari esibivano modulistica contrattuale di Enel Energia e tesserini di riconoscimento, apparentemente contraffatti, relativi alla medesima compagnia.

Quanto alle concrete modalità di svolgimento delle attività promozionali, venivano ascoltati dalla Guardia di finanza alcuni procacciatori o dipendenti delle due società. Dalle loro dichiarazioni emergeva che le attività di acquisizione dei clienti per conto di Hera Comm ed Enel Energia prevedeva, per ciascun procacciatore, il contatto quotidiano telefonico di circa cinquanta potenziali clienti, da cui dovevano necessariamente derivare otto appuntamenti per le giornate successive, appuntamenti finalizzati alla conclusione di contratti con Hera Comm. Solo nel caso in cui il potenziale cliente avesse in essere un contratto con Hera Comm, doveva essere al medesimo proposto un cambio di gestore verso Enel Energia. Successivamente, il cliente veniva ricontattato affinché cambiasse nuovamente gestore (da Hera Comm a Enel Energia e viceversa). Tale circostanza veniva confermata anche dalle dichiarazioni di alcuni clienti, assunte a sommarie informazioni nell’ambito delle indagini della Compagnia di Soave.

Quanto all’indebito contatto del comandante della Compagnia di Soave, al riguardo veniva ascoltato un dipendente di Mas s.r.l. autore della chiamata promozionale, il quale dichiarava che il nominativo era stato fornito dalla titolare della società, la quale   aveva poi raccomandato al proprio dipendente di rappresentare alla Guardia di finanza che si trattasse invece di un contatto suggerito da altro cliente.

I numerosissimi contratti realizzati da Mas s.r.l. per Enel Energia risultavano essere stati inviati, per l’attivazione dei servizi, alla società fiorentina Sesta Impresa s.r.l.

1.3. Accertamenti ispettivi presso Sesta Impresa s.r.l.

Sulla base delle informazioni acquisite dalla Guardia di finanza, questa Autorità disponeva l’effettuazione di un accertamento ispettivo presso la sede della società Sesta Impresa s.r.l. mirato a verificare il transito dei contratti Enel Energia provenienti da Mas s.r.l. e, più in generale, le modalità di trattamento dati nell’ambito delle attività promozionali per conto delle compagnie del settore energetico.

L’accertamento veniva svolto dal Nucleo Speciale tutela privacy e frodi tecnologiche della Guardia di finanza il 10 febbraio 2022 e restituiva numerosi elementi di criticità con riferimento ai corretti adempimenti in materia di protezione dei dati personali poiché consentiva di rilevare che Sesta Impresa operava quale sub-mandataria di diverse compagnie energetiche, fra le quali anche Enel Energia, in forza di contratti (di prestazione d’opera o di procacciamento di affari) stipulati con diverse agenzie, a loro volta legate contrattualmente con le compagnie energetiche. I contratti di cui sopra, acquisiti nel corso delle operazioni, non recavano alcun riferimento alla designazione di Sesta Impresa quale responsabile dei trattamenti svolti per conto delle compagnie energetiche, né tantomeno per conto delle due agenzie da cui origina l’intera istruttoria. 

Nello specifico, venivano esaminati i contratti con XX (promozione di servizi Enel Energia), XX (XX), XX (XX), XX (servizi Enel Energia), XX (servizi Enel Energia), Mas s.r.l. (servizi Hera Comm), XX (XX), XX (servizi Enel Energia), XX (XX), XX (servizi Enel Energia).

Particolare rilievo deve essere attribuito alla circostanza che il rappresentante legale e Presidente del consiglio d’amministrazione di Sesta Impresa dichiarava di non essersi mai occupato delle problematiche connesse alla protezione dei dati, poiché, a suo dire, la Società non forniva liste di soggetti da contattare né si occupava dell’inoltro delle proposte contrattuali, le quali venivano direttamente inviate ad un diverso soggetto, la società cooperativa Arnia, la quale forniva, presso una sede sita in Montecatini, servizi di “back-office”, ovvero l’insieme delle operazioni successive alla firma delle proposte contrattuali da parte dei clienti.

Il titolare di Sesta Impresa dichiarava di non essere a conoscenza delle modalità con le quali venivano operati contatti promozionali per conto delle compagnie energetiche né i passaggi tecnici per il caricamento delle proposte contrattuali e dei dati personali dei clienti nelle piattaforme delle compagnie, poiché l’attività promozionale era interamente demandata ai procacciatori i quali, una volta sottoscritti da parte dai clienti i moduli contrattuali, li facevano pervenire alla cooperativa Arnia che si occupava dell’inserimento dei dati nelle piattaforme gestionali delle compagnie energetiche.

Il titolare di Sesta Impresa rappresentava infine di non essere a conoscenza di procedure operative per assicurare agli interessati l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento.

In sostanza, dagli accertamenti è emerso che Sesta Impresa aveva il compito, da un lato, di stipulare contratti di sub-agenzia con partner della rete di vendita ufficiale delle compagnie energetiche e, dall’altro, di “arruolare” procacciatori d’affari (persone fisiche e piccole aziende – nel complesso circa 16-17 persone) che poi si distribuivano nel territorio, sulla base dei contatti telefonici precedentemente realizzati dalla società cooperativa Arnia, per far firmare ai potenziali clienti le proposte contrattuali con le compagnie energetiche medesime. Tali procacciatori d’affari non risultavano individuati come responsabili, sub-responsabili o persone autorizzate a svolgere trattamenti di dati personali per conto delle compagnie energetiche, delle agenzie e di Sesta Impresa.

Successivamente alla data di svolgimento degli accertamenti, Sesta Impresa inviava al Nucleo della Guardia di finanza una copia del contratto di servizi stipulato fra la medesima Sesta Impresa e la società cooperativa Arnia. In tale contratto si prevede che Arnia svolga, per conto di Sesta Impresa, attività di “pubblicizzazione di prodotti e nuove offerte nonché la eventuale fissazione di appuntamenti per i propri agenti commerciali, attività più sinteticamente definita di “call center” (contatti utili – appuntamenti presi)” e di “caricamento-elaborazione dei contratti, attività più sinteticamente definita “data entry””.

1.4. Accertamenti ispettivi presso la società cooperativa Arnia

Le risultanze dell’accertamento ispettivo nei confronti di Sesta Impresa s.r.l. imponevano un’ulteriore attività anche nei confronti della società cooperativa Arnia che appariva come il reale motore organizzativo dell’intera iniziativa imprenditoriale.

L’accertamento presso la società cooperativa Arnia è stato svolto dal Nucleo Speciale tutela privacy e frodi tecnologiche della Guardia di finanza il 22 e 23 giugno 2022, con la partecipazione di personale dell’Autorità, e da esso emergeva che la cooperativa risultava fornire i servizi indicati da Sesta Impresa (call center, per l’effettuazione di chiamate telefoniche promozionali e data entry dei contratti relativi a forniture di luce e gas) non solo per quest’ultima società ma anche per altre tre aziende, Idra s.r.l., Argo s.r.l. e Miral Synergy s.r.l., poi trasformatasi in Aries s.r.l. I rapporti fra Arnia e le quattro società risultavano regolati da contratti sottoscritti fra il 15 ottobre 2017 e il 2 gennaio 2018; tuttavia le quattro società hanno designato Arnia responsabile del trattamento solo il 21 gennaio 2019: tale designazione  è relativa ai soli trattamenti per i quali le quattro società assumono la veste giuridica di titolare.

Con riferimento all’attività di call-center e data entry, è emerso che Arnia, al momento dell’accertamento si avvaleva di 22 collaboratori (soci-lavoratori e collaboratori esterni), 13 dei quali inseriti nel call-center: tale personale ha realizzato, in base alle statistiche esibite dalla cooperativa, 76.618 cd. “telefonate utili” (intese come quelle in cui il cliente mostra un interesse a proseguire la conversazione senza interrompere la chiamata) nell’anno 2018, 114.142 nell'anno 2019, 99.603 nel 2020, 107.699 nel 2021 e 45.804 nei sei mesi del 2022.

Il restante personale ha svolto attività di data entry, intese come operazioni di lavorazione di ciascun contratto per la registrazione nelle piattaforme informatiche delle compagnie energetiche, inserendo 50.364 contratti nel 2018, 64.470 nel 2019, 60.035 nel 2020, 62.220 nel 2021 e 26.401 nel primo semestre 2022.

Per quanto riguarda le concrete modalità di svolgimento delle attività di call center, le stesse possono così riassumersi:

fase 1 – operazioni preliminari. Gli operatori di call-center di Arnia assegnano a ciascun procacciatore d’affari delle 4 società (Sesta Impresa, Argo, Idra e Aries, mandatarie o sub-mandatarie di compagnie energetiche) la zona geografica nella quale lo stesso può operare, la inseriscono nel sistema di dispacciamento delle telefonate di Arnia, ed il sistema restituisce i nominativi dei potenziali clienti da contattare in base al loro indirizzo di fornitura;

fase 2 – contatto. Gli operatori di call-center effettuano le chiamate promozionali per conto delle quattro società, promuovendo i servizi delle compagnie energetiche. Le telefonate sono effettuate da Arnia utilizzando due database dei quali la stessa ha dichiarato di essere titolare, uno composto dai nominativi di clienti che, nell’ambito della sottoscrizione di una proposta contrattuale, hanno prestato il consenso al trattamento dei propri dati personali per finalità promozionali. L’altro database risulta formato da nominativi di soggetti contattati telefonicamente da Arnia per la fissazione di un appuntamento, ai quali, nel corso del medesimo appuntamento, viene fatto sottoscrivere un modulo direttamente riferibile alle attività promozionali della medesima Arnia.;

fase 3 – promozione. Nel contatto promozionale l’operatore si presenta come appartenente alla cooperativa Arnia di Montecatini, illustrando lo scopo della chiamata, cioè quello di fornire ai clienti del mercato libero nuove opportunità di contratti energetici più convenienti di quelli in essere. Nel caso in cui il cliente chieda di conoscere l’origine dei propri dati personali detenuti da Arnia, l’operatore risponde che tali dati sono nella disponibilità della Società poiché “il soggetto contattato è cliente del mercato libero energetico”. Nel corso della chiamata vengono indicate le compagnie energetiche con le quali è possibile sottoscrivere un nuovo contratto. Una volta ottenuta la disponibilità di un appuntamento presso la propria abitazione, l’operatore provvede ad inserire l'appuntamento nell’agenda del venditore e, una volta, fissati circa 5/6 appuntamenti, l'agenda può considerarsi completata per il giorno di riferimento.

Per quanto riguarda le operazioni di data entry, le stesse vengono effettuate dai restanti 9 collaboratori di Arnia e riguardano il caricamento delle informazioni presenti nei contratti sottoscritti dai clienti a seguito delle visite dei procacciatori d’affari delle quattro società.

Anche in questo caso le attività prevedono diverse fasi:

fase 1 – suddivisione del lavoro. Il carico di lavoro dei contratti stipulati dai diversi agenti delle 4 società partner, che gli stessi si incaricano di recapitare alla sede di Montecatini, viene suddiviso fra i diversi addetti che hanno la facoltà di accedere ai portali delle compagnie energetiche;

fase 2 – accesso alle reti informatiche delle compagnie energetiche. Il collegamento ai portali delle compagnie energetiche avviene con l’inserimento delle credenziali di autenticazione che le compagnie hanno fornito alle società mandatarie. La credenziale per accedere a ciascun portale è unica per ogni compagnia e consente l’accesso simultaneo di più postazioni, anche al di fuori della rete aziendale;

fase 3 – caricamento delle informazioni contrattuali. Dopo l’accesso alla rete delle compagnie gli operatori provvedono all’inserimento delle informazioni necessarie per consentire la successiva attivazione del servizio. Qualora, nel corso dell’inserimento emergano delle anomalie, l’operatore può contattare un numero verde dedicato che ogni compagnia mette a disposizione per l’assistenza tecnica. Nel caso di contatti con il numero verde, l’operatore si qualifica come collaboratore di Arnia per conto di una delle 4 società partner.

Nel corso dell’attività ispettiva emergevano anche elementi relativi alle attività svolte dalla cooperativa con riferimento alle promozioni e alla vendita dei servizi di Enel Energia, avvenute attraverso le società Mas s.r.l. e Sesta Impresa. Sia il titolare della cooperativa che la coordinatrice delle attività di data-entry confermavano di aver operato l’inserimento dei contratti provenienti da Mas s.r.l., poi entrati nella disponibilità di Sesta Impresa, accedendo al sistema di Enel Energia, del quale fornivano anche l’esatta denominazione.

1.5. Seguiti istruttori

A conclusione delle attività ispettive Arnia faceva riserva di inviare alla Guardia di finanza, nel termine di 15 giorni, il dato relativo alla consistenza numerica complessiva (con specificazione del numero dei consensi riferibili alle 4 società mandatarie e a Arnia) delle anagrafiche presenti nei due database dei quali aveva rivendicato la titolarità.

Al riguardo si evidenzia che, con nota congiunta del Comandante del Nucleo Speciale tutela privacy e frodi tecnologiche della Guardia di finanza e del Comandante del Gruppo privacy, veniva rappresentato che “la società non ha adempiuto al termine fissato per lo scioglimento delle riserve e che, a seguito di vari solleciti […] ha richiesto una proroga del termine per trasmettere gli ulteriori dati, non congrua rispetto alle previsioni di codesta Autorità ed alle relative motivazioni addotte”. Alla nota veniva allegata una mail del 22 luglio 2022 proveniente da Arnia, nella quale si faceva presente che “in relazione alla richiesta da voi formulata a seguito al sopralluogo del 22 e 23 giugno u.s, di fornitura dei dati relativi alla privacy, siamo costretti a richiedere una proroga del termine per la fornitura degli stessi. La ragione sta nel fatto che, per completare il reperimento della copiosa documentazione da voi richiesta, ci siamo accorti che abbiamo necessità di risorse umane molto consistenti per la nostra Cooperativa, in quanto il reperimento dei contratti e dei consensi, presenti nei nostri archivi per la quasi totalità in forma cartacea, richiede tempi decisamente maggiori di quelli che avevamo stimato al momento del vostro sopralluogo. Per rendere un'idea, l'anagrafico master contiene 138.000 nominativi, a cui sono associati i relativi moduli di consenso cartacei, che devono essere estratti ed abbinati. Al momento siamo riusciti a completare circa 12.000 nominativi, di cui 10.000 facenti capo alla nostra Cooperativa, ed i restanti alle società mandatarie”.

1.6. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 64099/22 nel quale, in via generale, si osservava che dagli accertamenti ispettivi svolti dalla Guardia di finanza era possibile delineare un quadro estremamente grave e allarmante in relazione al complesso di attività svolte dalle società Mas s.r.l., Mas s.r.l.s., Sesta Impresa s.r.l. e Arnia società cooperativa, finalizzate alla promozione dei servizi delle compagnie energetiche in generale e a quelli di Hera Comm ed Enel Energia in particolare.

Si procedeva quindi a individuare le specifiche ipotesi di violazione che qui integralmente si richiamano:

a) Mas s.r.l. – art. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento, nonché 130, comma 3, del Codice, per avere realizzato contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste che risultano avere origine anche da aziende straniere e appaiono comunque prive di indicazioni in ordine alle modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali;

b) Mas s.r.l. - artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento, per avere proceduto a far sottoscrivere ai clienti proposte di contratto su modulistica Enel Energia, senza aver ricevuto dalla compagnia o da eventuali agenzie mandatarie, la designazione quale responsabile o sub-responsabile del trattamento, nonché per aver trasmesso i dati contenuti nelle proposte di contratto a Sesta Impresa s.r.l., senza che quest’ultima fosse stata designata, da Enel Energia o da altri, responsabile del trattamento;

c) Mas s.r.l. – art. 28 del Regolamento, per avere omesso di comunicare al titolare e/o al responsabile del trattamento l’individuazione di Mas s.r.l.s. quale sub-responsabile;

d) Mas s.r.l. – art. 30 del Regolamento, per non aver predisposto e messo a disposizione degli operanti il Registro dei trattamenti;

e) Mas s.r.l.s. – artt. 5, parr. 1 e 2, 6, 7 e 13 del Regolamento, per aver acquistato da più fornitori, anche stranieri, liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti e la acquisizione dagli interessati del necessario consenso al trasferimento dei propri dati a terzi, nonché per aver trasferito tali dati a Mas s.r.l., senza aver preventivamente reso agli interessati la necessaria informativa e acquisito dai medesimi il prescritto consenso alla comunicazione dei dati;

f) Mas s.r.l.s. – artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento, per avere svolto trattamenti per l’acquisizione di clienti per Enel Energia senza aver ricevuto, da quest’ultima o da Sesta Impresa, formali designazioni quale responsabile o sub-responsabile del trattamento, nonché per aver trasmesso i dati contenuti nelle proposte di contratto a Sesta Impresa s.r.l., senza che quest’ultima fosse stata designata, da Enel Energia o da altri, responsabile del trattamento: il trasferimento dei dati risulta pertanto essere stato effettuato quale autonomo titolare del trattamento, in assenza di una idonea base giuridica;

g) Mas s.r.l.s. – art. 28 del Regolamento, per avere omesso di comunicare al titolare e/o al responsabile del trattamento l’individuazione di Mas s.r.l. quale sub-responsabile;
h)    Mas s.r.l.s. – art. 30 del Regolamento, per non aver predisposto e messo a disposizione degli operanti il Registro dei trattamenti;

i) Sesta Impresa s.r.l. – artt. 28 e 29 del Regolamento, per avere effettuato trattamenti per conto di XX (servizi Enel Energia), XX (XX), XX (XX), XX (servizi Enel Energia), XX (servizi Enel Energia), Mas s.r.l. (servizi Hera Comm), XX (XX), XX (servizi Enel Energia), XX (XX), XX (servizi Enel Energia), senza essere stata designata quale responsabile o sub-responsabile del trattamento;

j)  Sesta Impresa s.r.l. – artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento, anche in relazione all’art. 2-quaterdecies del Codice, per aver omesso di designare i propri partner commerciali (fra i quali Mas s.r.l.) quali responsabili o sub-responsabili del trattamento e i propri collaboratori quali soggetti autorizzati a svolgere operazioni di trattamento, realizzando quindi comunicazioni di dati dei clienti, dai partner a Sesta Impresa, da Sesta Impresa ai propri collaboratori e da questi a Sesta Impresa e Arnia, per l’assenza della base giuridica che giustifichi il trattamento;

k)  Sesta Impresa s.r.l. – artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere acquisito dalle società mandatarie credenziali di autenticazione individuali per l’accesso alle piattaforme informatiche delle compagnie energetiche, credenziali non attribuite univocamente a Sesta Impresa e successivamente messe a disposizione di Arnia società cooperativa, realizzando così accessi non consentiti ai sistemi informatici delle compagnie energetiche;

l) Sesta Impresa s.r.l. – art. 28 del Regolamento, per avere omesso di comunicare al titolare e/o al responsabile del trattamento l’individuazione di Arnia società cooperativa quale sub-responsabile;

m) Arnia società cooperativa – artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento, nonché 130, comma 3, del Codice, per aver svolto trattamenti finalizzati alla promozione di prodotti e servizi di compagnie energetiche senza aver ricevuto dalle medesime idonea designazione quale responsabile o sub-responsabile del trattamento realizzando quindi comunicazioni di dati dei clienti, da Arnia a Sesta Impresa, da Sesta Impresa a Arnia e da Arnia alle compagnie energetiche, per l’assenza della base giuridica che giustifichi il trattamento;

n) Arnia società cooperativa – artt. 5, par. 1, lett. a), 6, 7, 28 e 29 del Regolamento per aver realizzato, nell’anno 2018, 70.000 contatti utili di potenziali clienti e 50.000 inserimenti di contratti dai medesimi stipulati, in assenza di idonea designazione quale responsabile o responsabile del trattamento, svolgendo quindi trattamenti di dati dei clienti finalizzati alla promozione dei servizi delle compagnie energetiche, in assenza di idonea base giuridica che giustifichi il trattamento;

o) Arnia società cooperativa – artt. 5, par. 1, lett. a), 6, 7 e 13 del Regolamento per aver comunicato i dati presenti nelle liste di contattabilità delle quali è titolare a Sesta Impresa s.r.l., Aries s.r.l., Idra s.r.l. e Argo s.r.l. senza aver reso agli interessati la necessaria informativa e acquisito il prescritto consenso;

p) Arnia società cooperativa – artt. 5, par. 1, lett. f) e 32 del Regolamento, per avere acquisito da Sesta Impresa credenziali di autenticazione per l’accesso alle piattaforme informatiche delle compagnie energetiche non univocamente attribuite ad Arnia, realizzando così accessi non consentiti ai sistemi informatici delle compagnie energetiche;

q) Arnia società cooperativa – artt. 5, par. 1, lett. a), 6 e 7 del Regolamento, per avere ricevuto da Sesta Impresa dati provenienti da Mas s.r.l., raccolti su moduli di Enel Energia, e per avere svolto trattamenti su tali dati e la comunicazione degli stessi ad altro soggetto, gestore del cd. “Portale EVA” in assenza di idonea base giuridica;

r) Arnia società cooperativa – art. 157 del Codice e art. 31 del Regolamento, per omesso di fornire riscontro ad una richiesta di informazioni ed esibizione di documenti formulata dall’Autorità per il tramite della Guardia di finanza, dimostrando così, peraltro, un insufficiente grado di cooperazione con l’Autorità di controllo.

2. LA DIFESA DEI TITOLARI

Nonostante l’atto n. 64099/22 di avvio del procedimento sia stato ritualmente notificato alle parti, come già rappresentato in premessa, deve evidenziarsi che Mas s.r.l., Mas s.r.l.s. e Sesta Impresa s.r.l. non hanno fatto pervenire memorie difensive né hanno richiesto audizione davanti all’Autorità, non avvalendosi, dunque, di alcuna prerogativa difensiva.

Per quanto riguarda invece la società cooperativa Arnia, la stessa non ha inteso presentare memorie scritte ma ha richiesto di essere ascoltata, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019.

L’audizione si è svolta il 18 gennaio 2023 presso la sede dell’Autorità e non ha riguardato le pur numerose contestazioni relative ai trattamenti svolti dalla cooperativa nell’ambito dell’iniziativa imprenditoriale che ha coinvolto anche Mas s.r.l., Mas s.r.l.s. e Sesta Impresa, ma solamente il residuo aspetto del mancato riscontro alle richieste di informazioni formulate dal Garante, come contestato, ad Arnia, al capo r) dell’atto di avvio del procedimento.

Su tale punto i rappresentanti della società hanno specificato che “la Cooperativa aveva richiesto una proroga di 60 giorni per la consegna della documentazione richiesta in sede ispettiva e su cui era stata formulata riserva. A tale richiesta di proroga la Guardia di Finanza, a detta della parte, non ha fornito riscontro né in senso affermativo né negativo. La parte ha precisato inoltre che non corrisponde al vero la circostanza riferita dalla Guardia di Finanza di “vari solleciti” ad essa rivolti per la produzione dei documenti. In realtà si sarebbe trattato di un solo sollecito telefonico, al quale la Cooperativa ha fornito riscontro immediatamente (22 luglio 2022), rappresentando le difficoltà incontrate e richiedendo la sopra richiamata proroga”.

La cooperativa ha quindi fatto riserva di produrre quanto originariamente richiesto dalla Guardia di finanza e su cui, in sede di ispezione, era stata già formulata riserva. Successivamente, in data 25 gennaio 2023, è stato consegnato presso la sede dell’Autorità un plico, inviato da Arnia, contenente solo un dispositivo di memorizzazione (pen-drive USB) senza alcuna nota di trasmissione ovvero documentazione di supporto o in qualche modo esplicativa. A seguito di analisi a cura della struttura tecnologica dell’Autorità, è emerso che il supporto contiene 10270 file, per un totale di oltre 5 GB di dati in formato pdf e/o jpg che sono denominati con il nome e cognome di soggetti interessati, seguiti dall’indicazione di una società (a titolo meramente esemplificativo “Arnia”, “Miral”, “Sesta”). Essi paiono rappresentare la riproduzione di moduli cartacei genericamente riferibili a “informativa sul trattamento dati” e “consenso” sottoscritti da migliaia di interessati differenti.

Al riguardo si deve osservare che i moduli riprodotti nel supporto USB e riconducibili alla titolarità della cooperativa Arnia, riportano, per ciascun interessato, soltanto il nome e cognome e, in alcuni casi, il numero del documento di riconoscimento, oltre alla data di sottoscrizione, la firma e la specifica indicazione dei consensi prestati. I moduli riferibili alla titolarità delle quattro società partner di Arnia recano l’indicazione della data di nascita dell’interessato. In molti casi sono stati rinvenuti più moduli per il medesimo interessato, con consensi prestati in diverse date (ad esempio, per un unico interessato – A.G. – sono presenti moduli di consenso sottoscritti il 10 giugno 2019, il 23 agosto 2019, il 20 gennaio 2020, il 9 settembre 2020 e il 20 luglio 2021). In alcuni casi si è potuto osservare che per taluni interessati sono presenti più moduli di consenso sottoscritti per il medesimo titolare e nella medesima data. In alcuni casi le firme dei medesimi interessati sui diversi moduli appaiono evidentemente difformi.

3. VALUTAZIONI DELL’AUTORITÀ

È necessario in primo luogo sottolineare che il disinteresse di Mas s.r.l., Mas s.r.l.s. e Sesta Impresa s.r.l. per l’odierno procedimento, attestato dalla scelta di non presentare memorie difensive né di richiedere audizione davanti al Garante, conferma di per sé che le tre società attribuiscono al rispetto della normativa in materia di protezione dei dati personali un valore insignificante nell’ambito delle proprie strategie imprenditoriali. Esse sembrerebbero finalizzate, attesa la scarsa attenzione e l’incoerente adozione delle disposizioni del Regolamento e del Codice, esclusivamente a massimizzare i profitti attraverso illeciti trattamenti di dati personali, da cui può derivare, peraltro, una non conforme declinazione delle principali regole per una concorrenza leale con i competitor nel mercato dei servizi energetici e una sostanziale elusione, con pratiche non consentite, delle norme poste a protezione dei diritti delle persone fisiche. Tale prassi è indicativa di un atteggiamento e di un modus operandi che favoriscono il dilagare del fenomeno del telemarketing selvaggio che quotidianamente coinvolge una vasta parte della popolazione italiana.

Le medesime considerazioni devono svolgersi anche per la società cooperativa Arnia che, pur avendo richiesto audizione davanti all’Autorità, ha tuttavia inteso articolare la propria difesa senza fornire alcuna spiegazione delle numerose e gravi violazioni contestate, concentrandosi su un aspetto importante ma pur sempre marginale rispetto al complesso delle condotte rilevate ovvero quello relativo al mancato riscontro alle richieste di informazioni formulate dall’Autorità.

In presenza di un così plateale atteggiamento che in nessun momento ha evidenziato una reale volontà di interlocuzione costruttiva con l’Autorità, al fine di sanare le criticità rilevate e di rimodulare i trattamenti di dati personali in un’ottica di rispetto delle regole e delle persone deve formularsi una valutazione di estrema gravità delle condotte poste in essere dai quattro soggetti di cui all’odierno procedimento. Ne discende altresì un giudizio prognostico di rilevante pericolosità in relazione ai futuri trattamenti di dati personali, dal quale deriva la necessità di adottare, oltre a sanzioni amministrative pecuniarie di appropriata efficacia e dissuasività, anche provvedimenti inibitori in grado di impedire in radice la riproposizione di condotte della medesima specie.

Trova conferma, pertanto, quanto osservato in sede di contestazione e cioè che Mas s.r.l., Mas s.r.l.s. e Sesta Impresa s.r.l. hanno agito, sotto la regia della società cooperativa Arnia, in spregio delle disposizioni che consentono di arginare il fenomeno del telemarketing selvaggio e di far emergere il c.d. “sottobosco” che opera ai margini delle reti di vendita ufficiali delle compagnie energetiche, posto che i rapporti fra le diverse società risultano indeterminati, fumosi e privi di riferimenti univocamente corretti alle modalità di distribuzione delle responsabilità del trattamento che il Regolamento impone ai sensi degli artt. 28 e 29.

In pratica è emerso che tutte le aziende sottoposte ad accertamento hanno operato svolgendo imponenti attività promozionali e di vendita di servizi energetici, sia telefonicamente che porta a porta, senza che le attività fossero dettagliatamente rappresentate e verificate dalle compagnie energetiche e dalle rispettive reti di vendita ufficiali. Le quattro società, infatti, non agivano quali responsabili o sub-responsabili del trattamento per conto delle compagnie energetiche e, tuttavia, sono riuscite, sfruttando evidenti debolezze del sistema e carenze nei controlli, a introdurre le numerose proposte contrattuali  fatte sottoscrivere ai clienti (con contatti promozionali, si ribadisce, realizzati in violazione delle norme in materia di protezione dei dati personali) nel patrimonio informativo delle medesime compagnie energetiche, incassando le relative provvigioni.

Si tratta, dunque, di più di anelli intermedi della (lunga) filiera del telemarketing nel settore energetico, la cui attività dimostra come non sempre le misure, a maggior ragione se solo di matrice contrattuale e civilistica, poste a controllo della sola rete di vendita ufficiale dalle grandi compagnie possano essere sufficienti o in grado di intercettare un fenomeno variegato e sfuggente quale quello che l’attività della Guardia di finanza e quella del Garante hanno cercato di ricostruire nella presente istruttoria.

Fra tutte, appare di estrema rilevanza e gravità la circostanza, acclarata con gli accertamenti ispettivi, che Mas s.r.l., dopo aver effettuato contatti promozionali utilizzando liste anagrafiche illecitamente acquisite da Mas s.r.l.s. (che a sua volta le aveva illecitamente acquisite tramite Facebook da una ditta individuale italiana e da una società spagnola) abbia trasferito un ingente quantitativo di contratti per l’attivazione di servizi energetici con Enel Energia a Sesta Impresa s.r.l. e questa abbia a sua volta “girato” tali contratti alla cooperativa Arnia. Quest’ultima, pur non avendo alcun tipo di rapporto contrattuale e relativo ai trattamenti di dati personali con Enel Energia, ha curato il caricamento dei contratti accedendo ai sistemi della compagnia con credenziali attribuite ad altri soggetti.

Il tutto è avvenuto nella totale inconsapevolezza degli interessati/clienti che non hanno mai avuto contezza del fatto che i propri dati personali sono passati di mano in mano fra soggetti che non offrivano alcuna garanzia di correttezza delle operazioni svolte e di sicurezza dei dati trattati, andando quindi ad alimentare ulteriormente le fonti di approvvigionamento del telemarketing illegale e generando un circuito vizioso di telefonate di disturbo e di contatti illeciti, del tutto avulso dall’intento di proporre al cliente servizi economicamente vantaggiosi e legato solo all’esigenza di aumentare i numeri delle chiamate, dei contratti sottoscritti e dei profitti realizzati dalle società.

Il contesto di complessiva grave illiceità dell’iniziativa imprenditoriale congiunta e organicamente pianificata delle quattro società è testimoniato, al di là di ogni considerazione di carattere giuridico, dalle dichiarazioni rese, alla Guardia di finanza, dai c.d. “procacciatori d’affari” di Mas s.r.l. e Mas s.r.l.s. che restituiscono un quadro inquietante: “ho firmato una lettera d'incarico per vendita diretta a domicilio con la società Mas s.r.l. e mi hanno consegnato due tesserini uno per conto della società Hera Comm e l'altro dell'Enel Energia ed entrambi erano intestati alla Mas. All'inizio della mia attività lavorativa non mi ero accorto della differenza tra Mas s.r.l., per la Hera Comm, e Mas s.r.l.s. per l'Enel perché ho sempre creduto che le due aziende fornitrici si avvalessero della sola Mas s.r.l.”; “Ricordo che gli elenchi erano stilati a penna e riportavano nome, cognome indirizzo e numero di telefono e l'orario in cui incontrare il probabile acquirente. Inoltre dovevamo anche fissare per il giorno dopo appuntamenti con soggetti che venivano individuati da un'ulteriore lista chiamata "pacchetto clienti", […] stampata al computer riportante migliaia di nominativi cui erano associati gli indirizzi dei soggetti, il numero di cellulare ed il fornitore del periodo”; “[I titolari di Mas s.r.l. e Mas s.r.l.s.] spingevano noi agenti a far sottoscrivere quanto più possibile contratti per la somministrazione di energia e gas da parte di Hera Comm. Noi dovevamo proporre i contratti per conto Enel solo nel caso in cui il cliente che incontravamo era già titolare di contratto Hera Comm”; “Gli otto appuntamenti andavano tassativamente fatti perché [il titolare di Mas s.r.l.s.] controllava se non andavamo. Nel caso in cui il cliente non si fosse fatto trovare presso il locale concordato dovevamo chiamarlo e in caso negativo scattare una foto del campanello da inviare insieme alla posizione GPS […]. In caso di una nostra negligenza era prevista una sanzione pecuniaria dell'ordine di qualche centinaio di euro. Il [titolare di Mas s.r.l.s.] provvedeva anche a richiamare lui stesso il cliente con il quale l'appuntamento era andato a vuoto per verificare quanto comunicato dall'agente. Pertanto eravamo costretti anche fino a tarda ora a cercare ed incontrare tutti gli otto clienti previsti”; “la lista di nomi che quotidianamente mi veniva consegnata era un elenco di una cinquantina circa di soggetti per singolo foglio e vi erano riportati per ciascun soggetto da contattare nome e cognome, codice fiscale, indirizzo di fornitura, il codice POD o PDR, il fornitore del servizio attivo al momento, la data di attivazione ed il numero di cellulare. Una delle società fornitrici di luce e gas maggiormente indicate nella suddetta lista era l'Enel Energia. Mi era vietato portare all'esterno degli uffici una copia di queste liste”; “Quando contattavamo un cliente non si comunicava il nome della Mas e si cercava di non permettere al cliente di approfondire la questione di come eravamo in possesso dei suoi dati. Giunti all'appuntamento dovevamo subito guardare l'ultima data di attivazione del contratto di fornitura e le condizioni applicate, dovevamo rilevare il costo medio presente in bolletta ed offrire un prezzo vantaggioso specificando che sarebbe stato bloccato per trenta mesi ma ciò non era assolutamente vero in quanto il prezzo non veniva mai bloccato e variava ogni mese. Sono certa di ciò in quanto diversi clienti ai quali ho fatto stipulare contratti Hera, mi hanno contattata lamentandosi dei prezzi fluttuanti e sempre più elevati. Come da insegnamenti ed indicazioni ricevuti da [la titolare di Mas s.r.l.], procedevo ad insistere nella sottoscrizione del contratto anche utilizzando toni alti se un cliente obiettava. Segnalo che una volta mi sono recata con [la titolare di Mas s.r.l.] presso un cliente e la stessa ha dato dimostrazione su come procedere con irruenza e determinazione a convincerlo a sottoscrivere un contratto Hera”; “tutti gli agenti dovevano su ordine di [la titolare di Mas s.r.l.] rilevare dalla lista di nomi coloro che erano da poco passati ad Hera Comm, dovevamo contattarli per offrire il passaggio ad Enel anche dopo un mese dal ricevimento della prima bolletta Hera Comm. A passaggio avvenuto ad Enel si doveva procedere nuovamente nel giro di pochissimo tempo alla proposta di rientro ad Hera Comm. [La titolare di Mas s.r.l.] pretendeva tutti questi cambi di gestore allo scopo di non perdere i clienti e di incrementare il numero delle provvigioni”.

Tali testimonianze sono la più evidente prova dell’indotto di illiceità che il telemarketing abusivo è in grado di generare, rendendo sostanzialmente inefficaci tutte le misure di regolamentazione del settore, se individuate solo in un’ottica formalista e di vincolo contrattuale, e deve ritenersi che quanto accertato nel caso in esame possa assumere connotati di sistema in ordine al quale il Garante si riserva di assumere le iniziative di competenza, ivi compresa una comunicazione all’Autorità Garante per la concorrenza e il mercato, anche alla luce di alcune recenti deliberazioni di quest’ultima su analoghi profili (ex multis Decisione del 2 novembre 2022, pubblicata in Bollettino 42/22 del 21 novembre 2022 - https://agcm.it/dotcmsdoc/bollettini/2022/42-22.pdf).

Per ciò che attiene le specifiche contestazioni mosse a ciascuna delle società destinatarie del presente provvedimento, le stesse appaiono confermate dalle risultanze delle attività ispettive che, di volta in volta, hanno composto un esauriente quadro probatorio e che in nessun caso sono state messe in discussione dalle società medesime.

In particolare, è emerso che Mas s.r.l. ha svolto attività di trattamento finalizzate alla realizzazione di contatti telefonici promozionali, utilizzando liste di anagrafiche acquisite in assenza di uno specifico consenso e in assenza del rilascio di una preventiva informativa, liste che risultano avere origine anche da aziende straniere e appaiono comunque prive di indicazioni in ordine alle modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali. La società ha inoltre proceduto a far sottoscrivere ai clienti proposte di contratto su modulistica Enel Energia, senza aver ricevuto dalla compagnia o da eventuali agenzie mandatarie, la designazione quale responsabile o sub-responsabile del trattamento. Ha quindi trasmesso i dati contenuti nelle proposte di contratto, a Sesta Impresa s.r.l., senza che quest’ultima fosse stata designata, da Enel Energia o da altri, responsabile del trattamento: la raccolta e il trasferimento dei dati risultano pertanto essere stati effettuati da Mas s.r.l. quale autonomo titolare del trattamento, in assenza di un’idonea base giuridica, posto che l’art. 6, par. 1, lett. b) del Regolamento consente i trattamenti necessari per l’esecuzione del contratto alle sole parti del contratto medesimo e ai soggetti ritualmente designati quali responsabili. Infine, in ragione della condivisione con Mas s.r.l.s., dei medesimi ambienti operativi nonché del medesimo personale che operava indifferentemente per entrambe le società, le stesse hanno realizzato costanti condivisioni di dati personali senza aver provveduto a vicendevoli atti di designazione idonei a distribuire e suddividere le responsabilità dei diversi trattamenti. La società non ha predisposto e messo a disposizione degli operanti il Registro dei trattamenti.

Allo stesso modo Mas s.r.l.s. risulta aver acquistato da più fornitori, anche stranieri, liste di anagrafiche senza aver accertato la corretta raccolta dei dati personali in esse presenti e la acquisizione dagli interessati del necessario consenso al trasferimento dei propri dati a terzi. Ha inoltre trasferito tali dati a Mas s.r.l., senza aver preventivamente reso agli interessati la necessaria informativa e acquisito dai medesimi il prescritto consenso alla comunicazione dei dati. La società, in ragione di un rapporto commerciale con Sesta Impresa s.r.l., ha svolto trattamenti per l’acquisizione di clienti per Enel Energia senza aver ricevuto, da quest’ultima o da Sesta Impresa, formali designazioni quale responsabile o sub-responsabile del trattamento. Ha quindi trasmesso, al pari di Mas s.r.l., i dati contenuti nelle proposte di contratto a Sesta Impresa s.r.l., senza che quest’ultima fosse stata designata, da Enel Energia o da altri, responsabile del trattamento: anche in questo caso il trasferimento dei dati risulta essere stato effettuato quale autonomo titolare del trattamento, in assenza di una specifica base giuridica sul punto.

Per quanto riguarda Sesta Impresa s.r.l., la Società è risultata svolgere attività promozionali di prodotti e servizi di numerose compagnie energetiche, per conto di alcune agenzie mandatarie con le quali ha sottoscritto contratti di procacciamento di affari o di prestazione d’opera. Al riguardo risulta che i contratti con XX (servizi Enel Energia), XX (XX), XX (XX), XX (servizi Enel Energia), XX (servizi Enel Energia), Mas s.r.l. (servizi Hera Comm), XX (XX), XX (servizi Enel Energia), XX (XX), XX (servizi Enel Energia), non recano la designazione di Sesta Impresa quale responsabile del trattamento; il contratto con Diler Power Italia s.r.l. (servizi Eon) reca la designazione di Sesta Impresa quale sub-responsabile del trattamento con espresso divieto di designare ulteriori sub-responsabili. È emerso quindi per tabulas che Sesta impresa ha svolto trattamenti di dati personali finalizzati alla promozione commerciale dei servizi delle compagnie energetiche di cui sopra in carenza di designazioni e distribuzioni delle responsabilità idonee a inserire i trattamenti medesimi nella cornice di legittimità che solo la diretta rapportabilità con la compagnia committente avrebbe potuto fornire.

Allo stesso modo, i numerosi collaboratori, siano essi persone fisiche che giuridiche, di cui Sesta Impresa si è avvalsa, non risultano essere stati inseriti in un contesto coerente con le disposizioni di cui agli artt. 28 e 29 del Regolamento e 2-quaterdecies del Codice.

Per quanto riguarda poi il rapporto con Arnia società cooperativa, quest’ultima risulta essere stata designata da Sesta Impresa quale responsabile del trattamento, designazione che tuttavia appare del tutto inefficace a restituire legittimità ai trattamenti svolti in quanto adottata da Sesta Impresa in qualità di autonomo titolare del trattamento: tale veste giuridica appare inconferente con la natura e la finalità dei trattamenti, indirizzati a promuovere i servizi di compagnie energetiche che, in qualità di committenti originari, avrebbero dovuto individuare la complessiva filiera della rete di vendita, adottare i relativi atti di designazione ed essere messe al corrente della presenza di eventuali soggetti che operavano in qualità di sub-responsabili, al fine di ricomprendere anch’essi nella ripartizione delle responsabilità.

La mancata corretta designazione dei soggetti del trattamento, oltre a configurare le specifiche violazioni previste dal Regolamento, determina l’illiceità delle comunicazioni di dati dei clienti, da Sesta Impresa ai propri collaboratori e da questi a Sesta Impresa e Arnia, per l’assenza della base giuridica che giustifichi il trattamento, posto che, come osservato anche in relazione della posizioni di Mas s.r.l. e Mas s.r.l.s., il Regolamento consente trattamenti necessari per l’esecuzione di un contratto solo fra le parti del contratto medesimo e fra i soggetti ricompresi nella filiera riconosciuta dal titolare.

Sesta Impresa ha inoltre ricevuto dalla società Mas s.r.l., nel corso quantomeno degli anni 2020 e 2021, costanti flussi di dati personali di clienti che avevano sottoscritto contratti su modulistica Enel Energia proprio per il tramite di Mas s.r.l. Tali dati sono stati successivamente trasmessi ad Arnia società cooperativa per le operazioni di data entry realizzando quindi comunicazioni di dati in carenza di un’idonea base giuridica. Sesta Impresa, infine, avrebbe ottenuto dalle agenzie mandatarie la disponibilità delle credenziali di autenticazione per accedere alle piattaforme informatiche delle compagnie energetiche, credenziali che la medesima non avrebbe potuto già di per sé utilizzare poiché intestate individualmente ad altro soggetto. Tali credenziali, invece, sono state comunicate da Sesta Impresa ad Arnia affinché quest’ultima effettuasse, per conto proprio di Sesta Impresa e delle altre agenzie committenti, le operazioni di data entry dei contratti sottoscritti dai clienti, in violazione delle disposizioni del Regolamento in materia di sicurezza del trattamento.

Infine, con riferimento a Arnia società cooperativa, l’azienda è risultata essere il centro nevralgico delle attività di marketing poste in essere nelle illegittime e illecite modalità sopra descritte. È infatti risultato evidente, già dalle dichiarazioni del titolare di Sesta Impresa che lo stesso facesse totale affidamento sulla organizzazione della società cooperativa per la realizzazione dei contatti telefonici prodromici alla fissazione degli appuntamenti con i potenziali clienti, per la tenuta dei database contenenti liste di anagrafiche delle quali Arnia è risultata essere l’esclusivo titolare e per le operazioni di data entry dei contratti stipulati dai procacciatori per conto delle compagnie energetiche.

Il rapporto fra Arnia società cooperativa e Sesta Impresa, così come quello con Idra s.r.l., Argo s.r.l. e Aries s.r.l., è regolato da un contratto di servizi e dalla designazione di Arnia quale responsabile dei trattamenti svolti dalle quattro società in qualità di titolari. Tuttavia, tale impostazione appare non corrispondere alla realtà dei fatti poiché le attività promozionali realizzate da Sesta Impresa risultano svolte nella qualità di sub-responsabile “di fatto” e comunque sono inequivocabilmente riconducibili alla titolarità delle compagnie energetiche, originarie committenti. Da ciò deriva che la designazione di Arnia da parte di Sesta Impresa non è idonea a ricondurre i trattamenti dalla stessa svolta con i dati dei clienti delle compagnie energetiche ad una cornice di legittimità, legittimità che peraltro risulta estranea, in origine, anche ai trattamenti di Sesta Impresa. Le uniche operazioni di trattamento che Arnia svolge nell’ambito della titolarità di Sesta Impresa e delle altre tre società risultano essere quelle finalizzate al contatto telefonico dei potenziali clienti e alla fissazione degli appuntamenti nell’agenda dei collaboratori di quest’ultima. Tuttavia, per l’effettuazione delle chiamate promozionali Arnia utilizza i database contenenti le liste di contattabilità di cui la stessa è titolare, che mette quindi indebitamente a disposizione di Sesta Impresa e delle altre tre società nell’ambito delle attività di cui le stessa sono autonomi titolari, realizzando una comunicazione di dati non prevista dall’informativa resa agli interessati e non sorretta da alcuna base giuridica, in particolare quella del consenso. Allo stesso modo, Arnia, in sede di ispezione, ha dichiarato di raccogliere a sua volta un consenso al trattamento dei dati per finalità di marketing che finisce con l’andare ad alimentare una banca dati di per sé già illecita.

Oltre a ciò, va tenuto nella debita considerazione il fatto che la designazione di Arnia quale responsabile dei trattamenti delle 4 società è stata effettuata nel gennaio 2019 mentre i contratti di servizio sono stati stipulati a cavallo degli anni 2017 e 2018 ed è stata, al riguardo, acquisita documentazione in ordine alla effettuazione di circa 70.000 contatti utili promozionali per contro delle 4 società e l’inserimento di circa 50.000 contratti nelle piattaforme delle compagnie energetiche. Arnia risulta effettuare operazioni di data entry dei contratti stipulati su modulistica delle compagnie energetiche, accedendo alle piattaforme informatiche di queste ultime senza averne titolo e utilizzando credenziali di autenticazione intestate ad altri soggetti (le agenzie mandatarie che le comunicano indebitamente a Sesta Impresa e alle altre società). Con riferimento, inoltre, alle proposte contrattuali stipulate da Mas s.r.l. su modulistica di Enel Energia, Arnia avrebbe ricevuto tale documentazione in carenza di un’idonea base giuridica che legittimi il trattamento dei relativi dati e avrebbe acceduto ai sistemi di Enel Energia attraverso il portale della compagnia, procedendo al caricamento di tutti i contratti e determinando la piena realizzazione dell’illecita condotta iniziata dalle altre società partner.

Arnia infine ha omesso di fornire riscontro alle richieste di informazioni relative ai due database che l’Autorità, per il tramite della Guardia di finanza, le ha rivolto sia in sede ispettiva, nel corso delle operazioni, sia successivamente. Quest’ultima circostanza si è verificata nonostante le fosse stato accordato un termine di 15 giorni per le risposte. Va osservato al riguardo che la Società, dopo essere stata più volte sollecitata, ha richiesto, in data 22 luglio 2022, un’ulteriore proroga dei termini di riscontro pari a due mesi. Nonostante tale proroga non sia stata accordata, Arnia non ha fatto pervenire alcun riscontro, nemmeno a distanza di due mesi, realizzando quindi una condotta in violazione delle disposizioni di cui all’art. 157 del Codice e dimostrando un marcato atteggiamento non collaborativo nei confronti dell’Autorità e della Guardia di finanza, che ha rallentato fortemente l’iter istruttorio.

Peraltro, anche nella fase dell’esercizio del diritto di difesa, Arnia ha provveduto ad inviare al Garante non già le informazioni e la documentazione richiesta, ovvero “il dato relativo alla consistenza numerica complessiva delle anagrafiche presenti nel database master e il dato relativo alla consistenza numerica dei consensi archiviati suddivisi in base al titolare del trattamento (Società mandatarie oppure Arnia)” ma una disorganica raccolta di documenti scansionati, contenenti i modelli di informativa e consenso predisposti da Arnia e dalle ulteriori 4 società partner (Aries, Argo, Sesta Impresa e Idra), che non può costituire un compiuto riscontro alle richieste del Garante.

Anzi, deve osservarsi che, da un lato, i moduli scansionati presentano elementi di criticità con riferimento all’identificazione dei soggetti che hanno rilasciato il consenso (in molti casi i moduli riportano solo il nome e cognome dell’interessato) e, dall’altro, che il riscontro fornito da Arnia, nonostante il lungo tempo trascorso dallo spirare del termine concesso dalla Guardia di finanza per la produzione documentale, si sia limitato a 10.270 documenti scannerizzati, cioè un numero inferiore di documenti rispetto a quelli che la cooperativa aveva dichiarato di aver completato di elaborare fin dal luglio 2022 (come emerge dalla mail 22 luglio richiamata al punto 1.5).

Nel confermare, quindi, le contestazioni di cui all’atto di avvio del procedimento, deve considerarsi che la radicale illiceità dei trattamenti come sopra descritti rende necessaria l’adozione di un provvedimento di divieto, nei confronti di Mas s.r.l., Mas s.r.l.s., Sesta Impresa s.r.l. e Arnia società cooperativa, di ogni ulteriore trattamento finalizzato alla realizzazione di contatti promozionali, di ogni ulteriore trattamento che preveda l’utilizzo delle liste di anagrafiche acquisite da Mas s.r.l.s. e Mas s.r.l. e dei database nella titolarità di Arnia società cooperativa nonché di ogni ulteriore trattamento finalizzato allo svolgimento di attività di data-entry di contratti per l’attivazione di servizi energetici, attesa l’inidoneità di qualunque provvedimento di carattere prescrittivo a sanare le gravissime illiceità realizzate.

Si ritiene, infine, necessario adottare la sanzione accessoria della confisca dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite da Mas s.r.l.s. tramite Facebook, da una impresa individuale italiana e da una società spagnola, nonché delle liste di anagrafiche e dei moduli cartacei che compongono i database nella disponibilità della società cooperativa Arnia.

Tale misura diviene necessaria ed è applicabile al caso di specie per due ordini di motivazioni.

In primo luogo, in ragione della peculiare iniziativa imprenditoriale avviata dalle quattro società, implementata ab origine in totale spregio della normativa in materia di dati personali (si pensi in particolare alla completa condivisione di dati tra le due Società denominate Mas ovvero ai data base che Arnia ha gestito in autonomia pur se originati da raccolte di dati effettuate dalle società partner e che poi Arnia provvedeva ad alimentare con l’illecita acquisizione di consensi rientranti nella propria titolarità ma acquisiti dai procacciatori d’affari dei partner, anche per la comunicazione a terzi), nonché del già rappresentato giudizio prognostico di rilevante pericolosità in relazione ai futuri trattamenti di dati personali, si ritiene doveroso sottrarre alla disponibilità di tali società un consistente patrimonio informativo (si ribadisce, acquisito e detenuto del tutto illecitamente), anche al fine di impedire in ogni modo riutilizzi illeciti anche da parte di ulteriori soggetti terzi.

In secondo luogo, la confisca appare funzionale a tutelare adeguatamente l’elevato numero di interessati, loro malgrado incappati nel complesso di attività illecite sin qui descritto. La misura della confisca assume, dunque, il significato di restituire, quantomeno idealmente e figurativamente, agli interessati, il senso di una adeguata tutela dei propri dati personali per il tramite di una pubblica Autorità, a fronte del fatto che l’oggetto della confisca – in particolare le banche dati di Arnia – rappresenta al contempo lo strumento e il prodotto dell’insieme di violazioni sin qui richiamate.

Per tali ragioni deve altresì essere disposta, ai sensi del combinato disposto di cui agli artt. 58, par. 6, del Regolamento, 166, comma 7, del Codice e 20, comma 3, della l. n. 689/1981, la confisca dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite da Mas s.r.l.s. tramite Facebook, da una impresa individuale italiana e da una società spagnola, nonché delle liste di anagrafiche e dei moduli cartacei che compongono i database nella disponibilità della società cooperativa Arnia.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Mas s.r.l., Mas s.r.l.s., Sesta Impresa s.r.l. e Arnia società cooperativa in ordine a tutte le violazioni contestate.

Accertata altresì l’illiceità delle condotte delle quattro società di cui sopra con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre alle stesse, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento finalizzato alla realizzazione di contatti promozionali, di ogni ulteriore trattamento che preveda l’utilizzo delle liste di anagrafiche acquisite da Mas s.r.l.s. e Mas s.r.l. e dei database nella titolarità di Arnia società cooperativa nonché di ogni ulteriore trattamento finalizzato allo svolgimento di attività di data-entry di contratti per l’attivazione di servizi energetici.

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti delle quattro società della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Mas s.r.l., Mas s.r.l.s., Sesta Impresa s.r.l. e Arnia società cooperativa della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) l’eccezionale gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto, delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, delle modalità di trattamento, in palese spregio della disciplina in materia di protezione dei dati personali, del rilevante numero dei soggetti coinvolti, desumibile dal volume delle attività promozionali come riportato in motivazione e della notevole durata dei trattamenti, almeno dall’entrata in vigore del Regolamento;   

2)  quale fattore aggravante, il carattere intenzionale delle condotte (art. 83, par. 2, lett. b) del Regolamento) poste in essere al fine di eludere la normativa in materia di protezione dei dati personali e le altre discipline regolatorie del settore;

3) quale ulteriore fattore aggravante, lo scarsissimo grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento) giacché le quattro società, a parte l’interlocuzione “necessitata” in sede di accertamento ispettivo, non hanno intrapreso alcuna iniziativa per agevolare l’iter istruttorio e per attenuare le conseguenze delle violazioni;

4) quale elemento di valutazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), la capacità economica dei contravventori come desunta dalle informazioni presenti nei bilanci d’esercizio per l’anno 2021.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, nonché al ruolo rivestito e allo specifico contributo di ciascuna società al progetto violativo (secondo il quale Arnia società cooperativa risulta essere la figura di raccordo e di snodo delle principali attività illecite, Mas s.r.l. l’azienda che ha avuto funzioni di coordinamento delle società veronesi e di trasmissione dell’ingente mole di contratti acquisiti in violazione delle norme in ambito privacy, Sesta Impresa s.r.l. l’esecutrice delle indebite attività promozionali pianificate da Arnia e Mas s.r.l.s. la società che ha acquisito illecitamente liste di contatto anche da aziende straniere) si ritiene debba applicarsi:

- a Mas s.r.l.s. la sanzione amministrativa del pagamento di una somma di euro 200.000;

- a Mas s.r.l. la sanzione amministrativa del pagamento di una somma di euro 500.000;

- a Sesta Impresa s.r.l. la sanzione amministrativa del pagamento di una somma di euro 300.000;

- a Arnia società cooperativa la sanzione amministrativa del pagamento di una somma di euro 800.000.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte delle Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per l’annotazione del presente provvedimento nel registro interno dell’Autorità.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Mas s.r.l., Mas s.r.l.s., Sesta Impresa s.r.l. e Arnia società cooperativa, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento finalizzato alla realizzazione di contatti promozionali, di ogni ulteriore trattamento che preveda l’utilizzo delle liste di anagrafiche acquisite da Mas s.r.l.s. e Mas s.r.l. e dei database nella titolarità di Arnia società cooperativa nonché di ogni ulteriore trattamento finalizzato allo svolgimento di attività di data-entry di contratti per l’attivazione di servizi energetici;

b) ingiunge alle predette società, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

c) dispone, ai sensi degli artt. 58, par. 6, del Regolamento e 154, comma 4, del Codice la trasmissione del presente provvedimento all’Autorità garante per la concorrenza ed il mercato, per le iniziative di competenza.

ORDINA

1) a Mas s.r.l., con sede legale in Verona, corso Milano 64, C.F. 04600740239, di pagare la somma di euro 500.000,00 (cinquecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

2)  a Mas s.r.l.s., con sede legale in Verona, corso Milano 64, C.F. 04464070236, di pagare la somma di euro 200.000,00 (duecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

3) a Sesta Impresa s.r.l., con sede legale in Firenze, viale Belfiore 34, C.F. 02108430501, di pagare la somma di euro 300.000,00 (trecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

4) a Arnia Società Cooperativa, con sede legale in Firenze, viale Belfiore 34, C.F. 06488750487, di pagare la somma di euro 800.000,00 (ottocentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione

Si rappresenta che i contravventori, ai sensi dell’art. 166, comma 8, del Codice hanno facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alle predette Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare per intero le somme rispettivamente indicate (euro 500.000 per Mas s.r.l.; euro 200.000 per Mas s.r.l.s.; euro 300.000 per Sesta Impresa s.r.l.; euro 800.000 per Arnia società cooperativa), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- l’applicazione della sanzione accessoria, ai sensi del combinato disposto di cui agli artt. 58, par. 6, del Regolamento, 166, comma 7, del Codice e 20, comma 3, della l. n. 689/1981, della confisca dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite da Mas s.r.l.s. tramite Facebook, da una impresa individuale italiana e da una società spagnola, nonché delle liste di anagrafiche e dei moduli cartacei che compongono i database nella disponibilità della società cooperativa Arnia;

- l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei